HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Песочница
Перезагрузить страницу Ответ от CSRF уязвимости
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 17.09.2012, 23:25
obj
Новичок
Регистрация: 01.03.2012
Сообщений: 0
С нами: 7473206

Репутация: 0
По умолчанию
Всем привет

Собственно сабж.

Нашел уязвимость на сайте, которая возвращает список интересных мне данных

(т.е нужно отправить запрос и все. токенов и проверок нету)

Но возможно ли составить такой код, чтобы отправить запрос и получить еще его ответ?

iframe позволяет послать запрос (точнее он должен подгружать даденный юрл) но ответ от него не отловить
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 18.09.2012, 00:02
M_script
Новичок
Регистрация: 04.11.2004
Сообщений: 5
С нами: 11322426

Репутация: 0
По умолчанию
Получить данные с другого сайта возможно если:

1) Они в формате JSONP

2) Это разрешено заголовком Access-Control-Allow-Origin

3) Это разрешено файлом crossdomain.xml
 
Ответить с цитированием

  #3  
Старый 18.09.2012, 00:32
obj
Новичок
Регистрация: 01.03.2012
Сообщений: 0
С нами: 7473206

Репутация: 0
По умолчанию
Цитата:
Сообщение от M_script  
Получить данные с другого сайта возможно если:
1) Они в формате JSONP
2) Это разрешено заголовком Access-Control-Allow-Origin
3) Это разрешено файлом crossdomain.xml
Это распространяется на весь html или только на iframe?

Если все 3 пункта отрицательны то провести атаку и получить ответ никакими способами нельзя?
 
Ответить с цитированием

  #4  
Старый 18.09.2012, 21:07
MrCepbIu
Познающий
Регистрация: 24.02.2010
Сообщений: 56
С нами: 8532256

Репутация: 0
По умолчанию
Цитата:
Сообщение от obj  
Это распространяется на весь html или только на iframe?
на весь
 
Ответить с цитированием

  #5  
Старый 18.09.2012, 21:40
M_script
Новичок
Регистрация: 04.11.2004
Сообщений: 5
С нами: 11322426

Репутация: 0
По умолчанию
Цитата:
Сообщение от obj  
Если все 3 пункта отрицательны то провести атаку и получить ответ никакими способами нельзя?
Могут быть и другие варианты. Зависит от конкретного случая.

Тема слишком обширная, чтобы описывать все возможные случаи.
 
Ответить с цитированием

  #6  
Старый 20.09.2012, 20:21
zeus.msk
Новичок
Регистрация: 12.09.2012
Сообщений: 6
С нами: 7192406

Репутация: 0
По умолчанию
Тема на самом деле крайне актуальная, называется пробить крос-домен. Я бы на твоем месте поискал на атакуемом домене XSS, как самую часто встречающуюся дыру в инете и идеально подходящую (даже активная) для выполнения кросс-доменных запросов
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.